D:\documents and settings\administ\escritorio\avance telmex peru[arteaga, nuñ...
Trabajo Auditoria Intormatica 2
1. Auditoría Informática
SERVICIO DE
RENTAS INTERNAS
Integrantes:
Mayra Delgado
Doris Aguirre
Tatiana Altamirano
Juan Francisco Valencia
2. Descripción del Servicio
de Rentas Internas
> La Administración Tributaria tiene a su
cargo la ejecución de la política
tributaria del país en lo que se refiere a
los impuestos internos, para lo cual
cuenta con las siguientes facultades
asignadas en la normativa vigente:
2
3. > Misión:
>
> Fomentar la cultura tributaria en la sociedad
ecuatoriana y consolidar la participación de los
impuestos administrados por el SRI en el
Presupuesto General del Estado. Prestar
servicios de calidad al ciudadano y lograr el
correcto cumplimiento de sus obligaciones.
>
>
> Visión:
>
> Consolidar al SRI como una entidad
despolitizada, reconocida por la sociedad por su
carácter técnico, de servicio y regida por
principios de honestidad, transparencia y
legalidad.
3
5. > Organigrama y Estructura del
departamento de Desarrollo
Tecnológico
El modelo de gestión del Servicio de Rentas Internas, se sustenta en tres pilares
fundamentales: la autonomía financiera, la profesionalización de sus
funcionarios y el uso intensivo de la tecnología, elementos que han contribuido
a mantener los procesos administrativos institucionales en un marco de
eficiencia y orientación al cumplimiento de objetivos.
5 5
6. > Organigrama y Estructura del
departamento de Desarrollo
Tecnológico
Uso intensivo de la tecnología: La utilización de las herramientas
informáticas como apoyo fundamental en la sistematización de los procesos
tributarios, se ha focalizado en la eficiente prestación de los servicios al
ciudadano y en el aprovechamiento de la información de las bases de datos
para ejecutar eficazmente los procesos de recaudación, control, cobranzas y
devolución de tributos.
6 6
7. > Organigrama y Estructura del
departamento de Desarrollo
Tecnológico
La institución ha identificado dos grandes objetivos dentro de tecnología,
los cuales son:
Mantener servicios de tecnología de información adecuados para que la
institución alcance sus objetivos de gestión.
Administrar el ciclo de vida de la información e integrarlo dentro de la
cadena de valor.
Actualmente el área de TI y Dirección Nacional de Desarrollo Tecnológico
del SRI mantiene una estructura planar, se lo puede graficar de la siguiente
manera:
7 7
8. DIRECCION NACIONAL DE DESARROLLO
TECNOLOGICO
ESPECIALISTA EN PROCESOS
ASISTENTE DE DIRECCION NACIONAL
DE D. T.
DESARROLLO DE SISTEMAS INFORMATICA DE PRODUCCION
DESARROLLO DE PRODUCCION
APLICACIONES
SOPORTE TECNICO DE
DISEÑO
USUARIOS
COMUNICACIONES Y
CONTROL DE CALIDAD
SEGURIDAD ELECTRONICA
8 SOPORTE DE SERVICIOS DE
8
TECNOLOGIA
9. > Organigrama y Estructura del
departamento de Desarrollo
Tecnológico
TI mantiene un número moderado de funcionarios que de cierta manera
soportan las necesidades tecnológicas de la institución, pero en temporadas
altas, dicho personal no es suficiente. Adicionalmente, las actividades
realizadas por TI suelen tomar un tiempo prolongado debido a que no todo
el personal del área tiene claro el ciclo del negocio.
DIRECTOR NACIONAL DE DESARROLLO TECNOLÓGICO 1
ESPECIALISTA EN PROCESOS 1
ASISTENTE DE DIRECTOR NACIONAL DE D. T. 1
DESARROLLO DE APLICACIONES 20
DISEÑO 3
CONTROL DE CALIDAD 3
PRODUCCION 10
SOPORTE TECNICO DE USUARIOS 8
COMUNICACIONES Y SEGURIDAD ELECTRONICA 3
SOPORTE DE SERVICIOS DE TECNOLOGIA 6
9 TOTAL 56
9
10. > Desarrollo Tecnológico
Área de Desarrollo:
Mantenimientos y Actividades ejecutadas con personal interno del SRI,
entre otras:
Inclusión del nuevo Look And Feel en las aplicaciones de Internet y en las
aplicaciones que se entregan a los contribuyentes (DIMM).
Mantenimiento y soporte de los siguientes sistemas en producción como
son: RUC, ADM, Lista Blanca, Vector Fiscal, SAD, Cobranzas, Tramites,
Consulta Consolidada, Facturación, etc.
Administración técnica del proyecto del Portal Web del SRI
10 10
11. > Desarrollo Tecnológico
Área de Soporte:
Con el fin de brindar el apoyo necesario al cumplimiento de las actividades
realizadas por las diferentes unidades, el área de Soporte participa en los
siguientes proyectos:
Activación de las islas de Internet en las distintas oficinas del SRI a nivel
nacional
Difusión y entrenamiento en herramientas Open Office del personal de las
áreas de Servicios Tributarios,
Generación de más de 15,000 CD con el anexo transaccional para ser
entregados a los contribuyentes.
11 11
Administración técnica del proyecto del Portal Web del SRI
12. > Desarrollo Tecnológico
Área de Diseño:
Diseño de los proyectos:
Look and Feel en aplicaciones Internet
Nuevos Servicios Sistema de Facturación
Recepción de Información Precios de Transferencia
Diseño de proyectos de inteligencia de negocios (BI):
Sistema de Indicadores de Gestión
Matriz de Selección de Contribuyentes
12 12
13. > Desarrollo Tecnológico
Área de Producción
Instalación, configuración, pruebas del nuevo site para el Portal
Instalación y configuración de herramientas de monitoreo de bases de datos
y servidores de aplicación Oracle, para mejorar el rendimiento de las
aplicaciones.
Revisión y configuración de seguridades en los sistemas operativos, bases
de datos y servidores de aplicaciones.
Configuraciones para el control automático de servicios, envío de
notificaciones de fallas a celulares y correos electrónicos.
13 13
14. > Desarrollo Tecnológico
Área de Control de Calidad
Mejoras a los sistemas: RUC , Lista Blanca , Vector Fiscal , Matriz Global,
etc
Soporte para pruebas al Proveedor en la estabilización del nuevo Portal del
SRI próximo a entrar en producción.
Área de Servicios de Soporte
Se desarrollan actividades en las siguientes disciplinas:
Base de datos de Comercio Exterior:
14 14
15. > Aplicaciones en desarrollo
• Automatización de trámites, atención y consulta integrada por Internet.
• Crear mecanismos de cruces automáticos de diferencias e inconsistencias en las
declaraciones de los contribuyentes
• Mecanismos de alerta sobre la conducta riesgosa de los contribuyentes ante la
falta de veracidad en la información que proporcionan a la Administración
Tributaria.
• Sistema de inscripción, actualización y cancelación del RUC por Internet.
• Implantar la facturación electrónica.
• Incluir en el Internet una opción de consulta de cálculos de intereses y multas.
• Emisión de documentos habilitantes como comunicaciones de diferencias e
inconsistencias y actas de determinación de manera automática, así como la
posibilidad de notificar a los contribuyentes con ayuda del correo electrónico,
(ésta no estaría facultado legalmente, dado que el Código Tributario actual no
contempla dicha posibilidad).
15 15
16. AUDITORIA INFORMÁTICA SISTEMA INTERNO
DE RIESGO del Servicio de Rentas Internas
OBJETIVOS:
Realizar una auditoría Informática al Sistema utilizado en el
Área de Infracciones.
Evaluar el nivel de confianza de los datos proporcionados por
el sistema.
Identificar las áreas de mayor riesgo con respecto a la
generación, registro y presentación de datos e información de
interés tributario.
16
17. Estudio Inicial del Entorno Auditable
> Organización: Departamento de Gestión
Tributaria Regional Norte
> Determinar, recaudar y controlar los tributos
internos.
> Difundir y capacitar al contribuyente respecto
de sus obligaciones tributarias.
> Preparar estudios de reforma a la legislación
tributaria.
> Aplicar sanciones.
17
18. Relaciones Jerárquicas y
funcionales entre órganos
de la Organización
ID ROL DESCRIPCION
1 ADMINISTRADOR Soporte Técnico
2 SUPERVISOR Administrador y supervisor de usuarios
3 ANALISTA1 Analista de Sanciones
4 ANALISTA2 Analista de Clausuras
5 CONTROL Control a nivel gerencial
6 CONSULTA Usuarios externos al área de Infracciones acceso sólo de
consulta
18
19. Flujos de Información
ID TRASACCION BASE TABLA DESCRIPCIÓN
Acceso a la carga de Usuarios,
contribuyentes, catálogo de
ciudades, errores de comprobantes
1 USUARIOS CARGA MENU de venta y regional
SANCION Acceso a la administración de Sanciones
2 POR RUC ES MENU por RUC
REPORTE Acceso a los reportes de contribuyentes
3 POR RUC S MENU por RUC
Acceso a los reportes de contribuyentes
REPORTE por Analista y por fechas de
4 GENERAL S MENU ingreso de transacciones
POR COMPROB. SANCION Acceso a la administración de Sanciones
5 VENTA ES MENU por Comprobantes de Ventas
POR GESTIÓN SANCION Acceso a la administración de Sanciones
6 TRIBUT. ES MENU por Gestión Tributaria
OTRAS
SANCION SANCION Acceso a la administración de Sanciones
7 ES ES MENU por Otras Sanciones
Reporte para Gerencia sobre las
SUPERVISIÓN REPORTE transacciones ingresadas y pistas
10 TRN S MENU de Auditoría
19
20. Número de Puestos de
trabajo
> 11 usuarios del sistema
> En el sistema existen 6 usuarios dedicados
exclusivamente al área de Sanciones.
> Existe 1 usuario dedicado exclusivamente al
área de Clausuras
> Existe un rol de supervisor que tiene acceso
tanto al módulo de sanciones como de
clausuras
> Existe un rol de administrador que tiene
acceso a los módulos de sanciones, clausuras
y todo el menú de carga que corresponde a
la administración de usuarios y catálogos del
sistema.
20
21. Situaciones de riesgo
> En ausencia del supervisor, si se tuviera
algún cambio que realizar al no tener la clave
de supervisor, el administrador puede operar
directamente en la base de datos sin que
quede un registro de porqué se realizó tal
cambio.
> No existe un control superior que verifique el
grado de equivocaciones por parte de los
analistas, de tal forma que tenga un mayor
cuidado en el ingreso de las transacciones al
sistema
21
22. Entorno Operacional
> Situación geográfica de los Sistemas:
La Auditoria se realizará en el tercer piso, ala
oriental que corresponde al Área de
Infracciones desde el día lunes 29 de junio al
viernes 03 de junio de 2009. Arquitectura y
configuración de Hardware y Software:
no dato
> Inventario de Hardware y Software:
no dato
> d. Comunicación y Redes de
Comunicación:
no dato
22
23. Recursos de la Auditoria
Informática
> - Recursos humanos
No se cuenta con profesionales técnicos en
el conocimiento y manejo de equipos de
ayuda al proceso de auditoria
> - Recursos materiales
Los mismos equipos interconectados de los
usuarios, administrador y técnico de sistema
23
24. Elaboración del Plan y de los programas
de trabajo
> Control de programas fuentes y ambiente de
producción
> Pistas de auditoria en aplicación sir
> Procesos ejecutados directamente en la base
de datos
> Respaldos de información
> Participación de auditoria interna
> Plan de continuidad del proceso
24
25. Actividades de la
Auditoria Informática
· Cuestionario general inicial OK
· Cuestionario Checklist OK
· Estándares NO
· Monitores NO
· Simuladores (Generadores de datos) NO
· Paquetes de auditoria (Generadores
de Programas) NO
· Matrices de riesgo NO
25
26. Cuestionarios
> ¿Cuántos usuarios con roles de administrador encargado del soporte
técnico existe?
> ¿El perfil del administrador tiene asociado a su perfil otras
transacciones?
> ¿Cuántos usuarios tienen el rol de control?
> ¿Cuantos usuarios utilizan el sistema?
> ¿Existen usuarios con roles habilitados aunque ya no manejen el
sistema?
> ¿Existe algún control superior que verifique el grado de error cometido
por los analistas?
> ¿Hay algún control que asegure que se implementa en producción
únicamente los cambios autorizados por los usuarios?
> ¿En que programa se desarrolló el sistema?
> ¿El sistema tiene pistas de auditoria de cada transacción realizada?
> ¿Se registra el número de consultas que realiza el analista?
> Existen procedimiento de revisión de las pistas generadas?
> ¿Se encuentran automatizados todos los procesos?
> ¿Los procesos cuentan con políticas y procedimientos para
regularlos?
> ¿Están activas las pistas de auditoria para las bases de datos?
> ¿Cómo se autoriza la ejecución de los procesos?
26 > ¿Con que frecuencia se realizan los respaldos de la base?
> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?
27. Checklist
> Existen usuarios con roles de administrador encargado del soporte
técnico
> ¿El perfil del administrador tiene asociado a su perfil otras
transacciones?
> ¿Existen usuarios tienen el rol de control?
> ¿Todos los usuarios utilizan el sistema?
> ¿Existen usuarios con roles habilitados aunque ya no manejen el
sistema?
> ¿Existe algún control superior que verifique el grado de error cometido
por los analistas?
> ¿Hay algún control que asegure que se implementa en producción
únicamente los cambios autorizados por los usuarios?
> ¿El sistema tiene pistas de auditoria de cada transacción realizada?
> ¿Se registra el número de consultas que realiza el analista?
> Existen procedimiento de revisión de las pistas generadas?
> ¿Se encuentran automatizados todos los procesos?
> ¿Los procesos cuentan con políticas y procedimientos para
regularlos?
> ¿Están activas las pistas de auditoria para las bases de datos?
> ¿Con que frecuencia se realizan los respaldos de la base?
> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?
27